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Die Erfindung betrifft ein Programm zur Sicherung von aus- 
fuhrbaren Programmen gegen die Benutzung durch eine unbefugte 
Person. 

Die Erfindung betrifft alle durch Datenverarbeitungsvorrich- 
tungen ausfuhrbaren Programme. Sie betrifft insbesondere Pro- 
gramme, die die Herstellung einer Verbindung mit einem Infor- 
matiksystem ermoglichen, wie dies zum Beispiel mit dem Be- 
triebssystem DOS und noch mehr mit dem Betriebssystem UNIX 
der Fall ist, das allgemein in den Arbeitsplatzen verwendet 
wird. Es wird daran erinnert, dafi man unter Arbeitsplatz ein- 
zelne zugeordnete Gerate grofier Rechenkapazitat versteht, die 
Anwendungen wie z.B. CAO ermoglichen und im allgemeinen mit 
dem Betriebssystem arbeiten. 

Es ist namlich tiblich, dafi die Verbindung mit einem Arbeits- 
platz tiber ein ausftihrbares UNIX-Verbindungsprogramm herge- 
stellt wird. 

Das erf indungsgemafte Verfahren wird vorteilhaf terweise fur 
die Sicherung solcher Verbindungsprogramme verwendet. 

Es wird weiter daran. erinnert, dafi bei Arbeitsplatzen das 
Verbindungsprogramm ausgefuhrt wird, um einen Dialog zu in- 
itialisieren. Hierzu gibt ein Benutzer uber die Tastatur ei- 
nen ihm eigenen Benutzernamen und ein Pafiwort ein, das ihm 
zugeteilt wurde . Die Paliworter und die Benutzernamen der Per- 
sonen, die berechtigt sind, sich zu verbinden, sind dem Sy- 
stem bekannt. Wenn es eine Ubereinstimmung zwischen den vor- 
her gespeicherten und den tiber die Tastatur eingegebenen In- 
formationen gibt, wird das Verbindungsprogramm ausgefiihrt und 
die Verbindung wird hergestellt. 

Dl: GB-A-2 205 667 (NCR Corporation) betrifft ein Kontroll- 
verfahren eines Sicherheitsmoduls, das insbesondere zur Ober- 
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prufung personlicher Identif ikationscodes (PIN) oder zur Zu- 
grif fskontrolle anwendbar ist. Bei der Initialisierung wird 
eine beliebige Zahl KSK in einem Register gespeichert - das 
auf Null zuriickgestellt werden kann, wenn ein Einbruch fest- 
gestellt wird Dann wird ein Zugrif fsberechtigungsschltissel 
KA an den Modul angewendet, der mittels KSK verschliisselt 
wird, z.B. indem eine DES-Verschlusselung an das Paar KSK-KA 
angewendet und in einen geschiitzten Speicher 36 geladen wird, 
" Schliefilich wird das ursprttngliche Programmpaket in den Pro- 
grammspeicher geladen. 

Vor jedem Laden eines veranderten Programmpaket s wird ein 
entsprechender Zugrif fsberechtigungswert FAV berechnet und 
gleichzeitig in den Speicher geladen. Ein im Modul befindli- 
cher Prozessor berechnet den Zugrif fsberechtigungswert FAV 
neu mittels des gespeicherten Zugrif f sberechtigungsschliissels 
KA. Der so erhaltene Wert FAV wird mit dem Wert FAV vergli- 
chen f urn die Ladung des veranderten Prograrampakets zu berech- 
tigen. 

EP-A-0 339 115 (Siemens) beschreibt ein Schutzverf ahren ftir 
ein Programm, gemaii dem ein erster Datensatz (Dl), der von 
Merkmalen des Systems (Ml) und dem Programm zugeteilten At- 
tributdaten (Al, A2) gebildet wird, codiert wird, um einen 
zweiten Datensatz zu bilderi, der es ermoglicht, die Anwendung 
des Programms freizugeben. 

US-A-4 944 008 (PIOSENKA et al . ) betrifft ein elektronisches 
Datensperrsystem, das die Daten in Abhangigkeit von einem va- 
riablen Schliissel verandert, der mit Hilfe einer pseudozufal- 
ligen Zahl und einer Schlusselvariablen erhalten wird. 

Es hat sich aber herausgestellt, daB solche Schutzvorrichtun- 
gen nicht unfehlbar ist, da es zu haufig vorkommt, daJi unbe- 
rechtigte Personen die Verbindungen herstellen konnen. 



Die vorliegende Erfindung ermoglicht die Losung dieser Aufga- 
be. 

Sie hat ein Sicherungsverf ahren fur ein beliebiges mit Daten- 
verarbeitungsvorrichtungen ausfuhrbares Programm und insbe- 
sondere ein Sicherungsverf ahren ftir das Programm zur Verbin- 
dung mit einem Arbeitsplatz zum Gegenstand* 

Die vorliegende Erfindung hat insbesondere ein Verfahren zur 
Sicherung eines durch Datenverarbeitungsvorrichtungen aus- 
ftihrbaren Programms gegen jede Benutzung durch eine unberech- 
tigte Person zum Gegenstand. 

Das Verfahren ist im Anspruch 1 definiert. 

Ein entsprechendes System ist im Anspruch 7 definiert. 

Weitere Merkmale und Vorteile der Erfindung gehen aus der de- 
taillierten Beschreibung hervor, die nur beispielhaft und 
nicht einschrankend zu verstehen ist. Diese Beschreibung be- 
zieht sich auf die beiliegenden Zeichnungen, in denen: 

Figur 1 ein allgemeines Schema der erf indungsgemafien Siche- 
rungseinheit darstellt; 

Figur 2 ein Organisationsschema eines erf indungsgemafien Pro- 
grammspeichers darstellt; 

Figur 3 eine Tabelle zeigt, die die Austauschvorgange zwi- 
schen einer Chipkarte und Verarbeitungsvorrichtungen dar- 
stellt. 

Figur 1 zeigt Verarbeitungsvorrichtungen 1, die in Form eines 
mit einer Tastatur 2 verbundenen Mikrocomputers Oder Arbeits- 
platzes dargestellt sind. NatUrlich konnen diese Verabei- 
tungsvorrichtungen ein beliebiges anderes Inf ormatiksystem 
sein, das ein Programm zur Sicherung gegen unbefugte Benut- 



zungen ausfuhren kann. Zur Vereinf achung. wird nachfolgend von 
System gesprochen. 

Der Programmspeicher wird durch einen Bereich mit dem Bezugs- 
zeichen 3 symbolisch dargestellt und ist in Figur 2 detail- 
lierter gezeigt. 

In diesem Programmspeicher 3 sind ein Oder mehrere Programme 
gespeichertf. Die Ausfuhrung mindestens eines dieser Programme, 
ist so gesperrt, dafl es nur von berechtigten Personen gestar- 
tet werden kann. Hierzu enthalt das ausfiihrbare Programm P 
einen in einem Bereich ZA zufalliger Daten versteckten 
S.chltissel, genannt Hauptschltissel, der nur vori einer berech- 
tigten Person entschliisselt werden kann. 

Der Hauptschltissel ist ein zufalliger Datenwert, der vom be- 
rechtigten Benutzer zum Zeitpunkt der Installierung des Pro- 
gramms in das System eingegeben wird und der an einer Adresse 
in diesem Bereich ZA versteckt ist, die durch Verschltisselung 
erhalten wird. Die Adresse wird ausgehend vom Hauptschltissel 
und einem fUr das Programm eindeutigen Datenwert verschltis- 
selt. 

Die VerschlUsselung der Adresse besteht zum Beispiel darin, 
einen Algorithmus DES (oder RSA) an den vom Hauptschltissel 
und vom ftlr das Programm eindeutigen Datenwert gebildeten Da- 
tenwert anzulegen. 

Gemali einem bevorzugten Ausftihrungsbeispiel besteht der fur 
das Programm eindeutige Datenwert aus dem Datum der Instal- 
lierung des Programms in das System, Datum, das vom System 
gegeben wird und das nur far dieses Programm gilt, da es die 
Stunde, die Minuten und die Sekunden berlicksichtigt, und da 
die Wahrscheinlichkeit, das gleiche Datum zu erhalten, prak- 
tisch Null ist. 



Gemail einem bevorzugten Ausflihrungsbeispiel ist auflerdein der 
Schliissel im Bereich ZA in zufalliger Weise auf gesplittert . 

Der Schliissel enthalt n Bytes. Jedes Byte ist in diesem Be- 
reich an einer Adresse verteilt, die daher auch aufgesplit- 
tert ist. Die Adresse jedes Bytes entspricht einem Byte des 
Ergebnisses der Verschlusselungsrechnung. Man kann sich auf 
das Schema der Figur 2 beziehen, in dem als Beispiel die 
Standorte AD von acht Bytes eines Hauptschlttssels mit acht 
Bytes im Bereich ZA dargestellt sind. 

Der eindeutige Datenwert, das heifit das Installierungsdatum, 
ist an einer dem System bekannten, auf gesplitterten, aber fe- 
sten Adresse im Bereich ZA gespeichert, so dafi das System den 
Hauptschltissel zum gegebenen Zeitpunkt wiederfinden kann. 

Wenn in einem System ein Programm auf diese Weise gesichert 
ist, haben die berechtigten Benutzer tiber den Austausch ge- 
heimer Inf ormationen die Moglichkeit, die Ausfilhrung dieses 
Programms in der nachfolgend beschriebenen Weise freizugeben. 

So besitzt praktischerweise jeder Benutzer eine Speicherkar- 
te, auf der ein nur dem Karteninhaber bekannter Geheimcode, 
ein dem Karteninhaber ebenfalls bekannter Benutzername und 
ein geheimer Ref erenzschliissel gespeichert sind. 

Wenn eine berechtigte Person die Ausfuhrung des gesicherten 
Programms starten mochte, flihrt diese Person ihre Karte 22 in 
das Lesegerat 20 ein, das mit dem System 1 verbunden ist, und 
dann gibt er uber die Tastatur 2 des Systems seinen Geheim- 
code und seinen Benutzernamen ein. Dann werden Uber das Lese- 
gerat Austauschvorgange zwischen dem System und der Karte 
durchgefuhrt . Diese Austauschvorgange sind in der Tabelle der 
Figur 3 dargestellt, und sie sollen die EntschlUsselung des 
Hauptschliissels durch eine beliebige berechtigte Person 
durchfuhren, die folglich zugrif f sberechtigt und befugt ist. 



Der HauptschlUssel (CL.M.) ist wie oben beschrieben im Be- 
reich ZA versteckt. 

Das System berechnet den Ref erenzschltissel CL.REF ausgehend 
von CL.M. und der auf der Karte gelesenen Seriennummer . 

CL.REF = f(CL.M, Seriennummer) 

*~ Die Funktion f wird vorzugsweise fiir alle Verschliisselungs- 
rechnungen durch einen Algorithmus der Art DES Oder RSA 
durchgefiihrt . 

Nach dieser ersten Berechnung schickt das System einen ersten 
zufalligen Datenwert Alea 1 an die Karte. 

Die Karte errechnet ein Verschltisselungsergebnis Rc ausgehend 
von Alea 1 und CL.REF. 

Das System errechnet seinerseits ein Ergebnis Rs, derart,. 
da£: 

Rs - f (CL.REF, Alea 1) 

Das System empfangt von der Karte einen zweiten zufailigen 
Datenwert Alea 2 und das Ergebnis Rc. 

Das System vergleicht Rs und Rc. Wenn diese Ergebnisse gleich 
sind, wird die Karte zugrif f sberechtigt , sonst wird sie zu- 
ruckgewiesen. Anschliefiend nimmt man Rs = Rc = R. 

Das System errechnet dann einen Dialogschltissel S. 

S = f (R, Alea 2) 

Das System schickt dann einen verschlusselten Datenwert Data 
an die Karte, so dafi: 



Data = f" 1 (S, Code. Sec), wobei f" 1 der Kehrwert von f ist. 



Die Karte errechnet dann ein Ergebnis Rd, so daJ3: 

Rd = f (Data, S) 

Die Karte vergleicht die gespeicherten Datenwerte Rd und 
Code. Sec, urn zu wissen, ob der vom Benutzer eingegebene Code 
- mit dem auf der Karte identisch ist. 

Wenn dies der Fall ist, wird der Benutzer zugrif f sberechtigt . 
Es gibt in der Tat eine gegenseitige Zugrif fsberechtigung 
zwischen dem System und dem Karteninhaber . 

Das System errechnet dann ein Ergebnis Rn derart, dafl: 

Rn = f (NOM, S) 

Der Datenwert NOM ist der auf der Karte gespeicherte Benut- 
zername. 

Das Ergebnis Rn wird zum System tibertragen, das den Datenwert 
NOM entschlusselt, indem es die Funktion f' 1 (Kehrwert von f) 
anwendet. 

f" 1 (Rn, S) « NOM 

Wenn der entschlusselte Datenwert NOM gleich dem vom Benutzer 
eingegebenen Datenwert NOM ist, ist dieser Benutzer befugt. 

Wenn die Zugrif fsberechtigung stattgefunden hat, wird das 
Programm ausgefuhrt. 

Bei der Installierung des so geschiitzten Programms verfiigt 
der Monteur iiber eine Installierungskarte, die es ermoglicht, 
den Hauptschlussel zu speichern, den der berechtigte Benutzer 
uber die Tastatur in das System eingegeben hat und der im Be- 



reich ZA gespeiqhert ist, und den Ref erenzschliissel ausgehend 
von diesem HauptschliAssel und der Seriennummer der Karte zu 
berechnen, die dem Benutzer ttbergeben wird. Die Installie- 
rungskarte wird verwendet, um die Benutzerkarten zu erstel- 
len. Diese Installierungskarte wird namlich verwendet, um die 
Identif ikationsinf ormationen der Karte und ihres Inhabers zu 
speichern, d.h.: der Geheimcode, der Benutzername, der Refe- 
renzschltissel . 

Wie oben gesagt, wird das Programm insbesondere fur Arbeits- 
platze angewendet. Es ermoglicht zum Beispiel in diesem Fall, 
den Zugrif fsmodus zum Arbeitsplatz zu sichern, wobei das ge- 
sicherte ausfuhrbare Programm dann das Verbindungsprogramm 
ist . 

Das Verfahren kann auch im Fall eines gemieteten Programms 
verwendet werden, vim eine Kontrolle der Anzahl von Benutzun- 
gen des Programms durch eirifaches Zahlen der Zugriffe auf 
dieses Programm durchzuf iihren und den Zugriff und somit die 
Ausfiihrung zu sperren, wenn die Anzahl von Benutzungen einen 
vorher eingegebehen Grenzwert iiberschritten hat, der vom 
Mietvertrag vorgesehen wurde. 
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Anspruche 

Verfahren zur Sicherung eines Programms (P) , das durch Da- 
tenverarbeitungsvorrichtungen (!) ausfiihrbar ist, gegen 
jede Verwendung durch unberechtigte Personen, dadurch ge- 
kennzeichnet, dali es die folgenden Schritte umfafit: 

A) zum Zeitpunkt der Installierung des Programmes 

- Auswahl und Einfuhrung eines Hauptschliissels (CL.M) 
durch einen berechtigten Benutzer zum Sperren der Aus- 
fuhrung des Programmes; 

- Berechnen einer Speicheradresse des Hauptschliissels in- 
nerhalb eines Blocks (Z.A) von im ausfiihrbaren Programm 
enthaltenen Zufallsdaten durch VerschlUsselung, wobei 
die Berechnung der Speicheradresse des Hauptschliissels 
darin besteht, diesen HauptschlUssel mit einem flir das 
Programm eindeutigen Datenwert mittels eines Verschlus- 
selungsalgorithmus (DES) zu verschltisseln, wobei das 
Ergebnis n Bytes aufweist, 

- Speichern dieses Hauptschliissels an dieser Adresse, 

B) wahrend der Benutzungen 

- Entschliisseln der Adresse des Hauptschliissels aus Iden- 
tifikationsinformationen und/oder Zugrif f sberechti- 
gungsinformationen der Person, die die Ausfuhrung des 
Programms starten will, wobei die Identif ikation 
und/oder Zugrif f sberechtigung besteht in: 

Ausgabe einer Chipkarte an jeden berechtigten Benutzer, 
auf der vorher Identif ikations- und/oder Zugriffsbe- 
rechtigungsinformationen der Karte und des Inhabers ge- 
speichert wurden, wobei diese Informationen umfassen: 

- die Seriennummer der Karte, 

- einen Identif ikationsnamen des Karteninhabers, 



- einen dem Inhaber bekannten Geheimcode, 

- einen Ref erenzschlussel (CL.REF), der von dem Haupt- 
schlUssel abhangt, 

- Identification und/oder Zugrif f sberechtigung der Per- 
son, wenn die Entschliisselung zum Start der Ausfiihrung 
des Prograitims erfolgreich durchgefuhrt wurde, wobei die 
Karte den Geheimcode, der dur'ch die Person eingegeben 
, wurde, mit einem berechneten Datenwert vergleicht. 

Sicherungsverf ahren nach Anspruch 1, bei dem der Haupt- 
schliissel ein Zuf allsdatenwert mit n Bytes ist, der zufal- 
lig durch das ausfiihrbare Programm ausgewahlt wird. 

Sicherungsverfahren nach einem der vorhergehenden Ansprti- 
che, bei dem der Hauptschlilssel im Block von Zufallsdaten 
in mehrere Adressen auf gesplittert ist. 

Verf ahren nach dem vorhergehenden Anspruch, bei dem der 
Schltlssel derart auf gesplittert ist, dafi jedes Byte sich 
an der Adresse befindet, die durch jedes Byte von n Adres- 
senbytes gegeben ist, die durch Verschlusselung erhalten 
wurden. 

Verfahren nach einem der vorhergehenden Anspriiche, bei dem 
der eindeutige Datenwert jedes Programme dessen Ins.talla- 
tionsdatum in die Verarbeitungsvorrichtungen ist. 

Verfahren nach einem der vorhergehenden Ansprttche, bei dem 
-der Schritt der Identif ikation und/oder Zugrif f sberechti- 
gung darin besteht, eine gegenseitige Zugrif f sberechtigung 
zwischen der Karte und dem System herzustellen, und fur 
die Karte besteht in: 

- Ubertragen der Seriennummer der Karte an die Verarbei- 
tungsvorrichtungen, 

- Berechnen eines ersten Ergebnisses durch Verschlusseln 
d es residenten Ref erenzschliissels und eines ersten emp- 
fangenen Zuf allswerts, 



- Berechnen eines zweiten Ergebnisses (S) durch VerschlUs- 
seln des vorhergehenden Ergebnisses und eines zweiten 
Zufallswerts, und Ubertragen des ersten Ergebnisses und 
des zweiten Zufallswerts, 

- Berechnen des Geheimcodes durch VerschlUsseln ausgehend 
von einem empfangenen Datensatz (Data) und dem zweiten 
Ergebnis, 

- Vergleichen des durch die Berechnung erhaltenen Geheim- 
codes mit dem residenten Geheimcode, 

- Zugrif f sberechtigung des Benutzers, wenn die beiden 
Codes identisch sind, 

- Ubertragen des Namens des Karteninhabers in verschlUs- 
selter Form, 

und fUr die Verarbeitungsvorrichtungen besteht in: 

- Berechnen des Ref erenzschlussels durch VerschlUsseln der 
Seriennummer ausgehend vom HauptschlUssel, 

- Ubertragen eines ersten Zufallswerts, 

- Berechnen eines Ergebnisses durch VerschlUsseln des er- 
sten Zufallswerts und des erhaltenen Ref erenzschlussels, 

- Vergleichen dieses Ergebnisses mit dem ersten auf der 
Karte erhaltenen Ergebnis, 

- Berechnen eines Dialogschlussels durch VerschlUsseln des 
Ergebnisses und des zweiten Zufallswerts, 

- Berechnen eines Datenwertes (Data) durch Entschlusseln 
des Dialogschlussels und des vom Benutzer eingegebenen 
Geheimcodes, 

- Ubertragen dieses Datenwertes (Data) auf die Karte, 

- EntschlUsseln des von der Karte empfangenen Namens und 
Vergleich mit dem eingegebenen Namen. 

Gesichertes Inf ormatiksystem mit Datenverarbeitungsvor- 
richtungen (1) mit einem Programmspeicher, in welchem ein 
oder mehrere ausfUhrbare Programme gespeichert sind, wobei 
die Vorrichtungen mit einer Tastatur und einem Kartenlese- 
gerat verbunden sind, dadurch gekennzeichnet, daii 
der Programmspeicher einen Bereich umfaflt, in dem minde- 
stens ein- ausfUhrbares Programm (P) gesichert ist, dessen 



Ausftihrung nur bei Berechtigung stattfinden kann, 
das Programm dafilr einen Hauptschliissel (CL.M) enthalt, 
der vom berechtigten Benutzer zum Zeitpunkt d£r Installa- 
tion des Programms ausgewahlt und eingegeben und an einer 
verschltisselten Adresse innerhalb eines Blocks (Z.A) von 
Zufallsdaten in dem Bereich gespeichert wird, in dem das 
Programm gespeichert ist, wobei die Berechnung der Spei- 
cher adresse des Hauptschlussels darin besteht, diesen 
Hauptschliissel mit einem fiir das Programm eindeutigen Da- 
tenwert mittels eines Verschlttsselungsalgorithmus zu ver- 
schliisseln, wobei das Ergebnis n Bytes aufweist, 
und dafl die Karten der berechtigten Benutzer aufter der Se 
riennummer der Karte einen Identif ikationsnamen des Kar- 
teninhabers, einen dem Inhaber bekannten Geheimcode und 
einen Ref erenzschltissel (CL.REF) enthalten, der vom Haupt 
schlussel abhangt, wodurch es den Verarbeitungsvorrichtun 
gen ermoglicht wird, die Adresse des Hauptschlussels zu 
entschliisseln und den Karteninhaber zu identif izieren 
und/oder zugrif f sberechtigt ^zu machen und so die AusfUh- 
rung des Programms freizugeben, wenn der Inhaber seinen 
Geheimcode und seinen Benutzernamen eingegeben und die 
Karte den Geheimcode, der durch die Person eingegeben wur 
de, mit einem berechneten Datenwert verglichen hat. 

Informatiksystem nach Anspruch 7, dadurch gekennzeichnet, 
dafi die Verarbeitungsvorrichtungen einen Arbeitsplatz ent 
halten. 
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CL.REF =DES{CL.M r Serien-Nr.) 
Rs = DES { C LREF, Atea 1) 
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OES* 1 {Rn,S) =NOM 
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Rc = OES ( CL.REF, Alea 1) 
S = DES{R,Aiea2) 
DES{Oate,S) =Rd 

Rd = Code. Sec. 
OEStNOM,S) =Rn 



